В России рассказали о новом способе мошенничества с банкоматами

05 июля в 18:56

Центробанк выявил новый вид мошенничества при переводе денег через банкомат. Обработка данных во время совершения операций на устройствах самообслуживания остаётся самой популярной целью атак злоумышленников.

Новый способ мошенничества основан на «несовершенстве сценариев обработки переводов» и связан с перечислением денег с карты на карту. Речь идёт об отмене транзакций.

Злоумышленник выбирает в банкомате перевод от клиента к клиенту, после чего набирает номер карты получателя. Затем устройство отправляет сообщение по авторизации банку-получателю и банку-отправителю. Так финансовые организации могут проверить информацию о балансе отправителя. Клиенту практически одновременно приходит уведомление об одобрении операции от обоих банков.

После этого происходит фактический перевод, при котором баланс на карте получателя увеличивается. В этот момент средства, которые составляют сумму перевода, блокируются на карте отправителя. Таким образом, на самом деле деньги пока не списались.

Затем банкомат просит у отправителя согласие на списание комиссии за транзакцию. В этом случае злоумышленник отказывается, а банк отправляет сообщение о возврате в банк-отправитель и банк-получатель. С замороженных средств снимается блокировка, но деньги к этому моменту уже выведены со счёта.

В ЦБ заявили, что уязвимость уже устранили, и порекомендовали российским банкам проверить программное обеспечение банкоматов. В частности, регулятор посоветовал настроить работу устройств так, чтобы одобрение на отмену операции отправителю приходило только после сообщения об успешном возврате переведённых средств со стороны банка-получателя. Также в Центробанке отметили, что можно установить получение согласия на взимание комиссии за перевод до отправки авторизационных сообщений на операцию.

В мае клиенты Сбербанка пожаловались на хищения средств в терминалах. Мошенникам достаточно было начать какую-либо операцию оплаты, не вставляя карту. Когда терминал предлагал вставить её и ввести пин-код, они просто уходили. В этом случае следующий клиент банка вставлял карту и таким образом подтверждал операцию злоумышленника. Для завершения оплаты терминал даёт полторы минуты, когда стандартное время на это не больше 30 секунд. Позже в Сбербанке сообщили, что такой способ больше не работает.

Текст: Андрей Суворов

У «Секрета фирмы» есть канал в «Яндекс.Дзене». Подписывайтесь!

Поделитесь историей своего бизнеса или расскажите читателям о вашем стартапе